Přidání vícefaktorového ověřování (MFA) do aplikace
V Microsoft Entra Externí ID externím tenantovi můžete přidat vrstvu zabezpečení do aplikací určených pro spotřebitele a firemní zákazníky tím, že vynucujete vícefaktorové ověřování (MFA). S vícefaktorovým ověřováním musí uživatel pokaždé, když se uživatel přihlásí, zadat e-mail s jednorázovým heslem. Tento článek popisuje, jak vynutit vícefaktorové ověřování pro zákazníky vytvořením zásad podmíněného přístupu Microsoft Entra a přidáním vícefaktorového ověřování do toku uživatelů pro registraci a přihlášení.
Důležité
Pokud chcete povolit vícefaktorové ověřování, nastavte metodu ověřování místního účtu na e-mail s heslem. Pokud nastavíte možnost místního účtu na E-mail s jednorázovým heslem, zákazníci, kteří tuto metodu používají, se nebudou moct přihlásit, protože jednorázové heslo je už jejich metoda prvního přihlášení a nedá se použít jako druhý faktor. Jednorázové heslo je v současné době jedinou metodou dostupnou pro vícefaktorové ověřování v externích tenantech.
Tip
Pokud si chcete tuto funkci vyzkoušet, přejděte na ukázku potravin Woodgrove a spusťte případ použití vícefaktorového ověřování.
Požadavky
- Externí tenant Microsoft Entra (pokud tenanta nemáte, můžete spustit bezplatnou zkušební verzi.
- Tok uživatele pro registraci a přihlášení s použitím metody ověřování místního účtu nastavený na e-mail s heslem.
- Aplikace zaregistrovaná ve vašem externím tenantovi, přidaná do toku uživatele pro registraci a přihlášení a aktualizovaná tak, aby odkazovala na tok uživatele pro ověření.
- Účet s alespoň rolí Security Správa istrator ke konfiguraci zásad podmíněného přístupu a vícefaktorového ověřování.
Vytvořte zásady podmíněného přístupu
Vytvořte ve svém externím tenantovi zásadu podmíněného přístupu, která uživatele vyzve k vícefaktorové ověřování při registraci nebo přihlášení k aplikaci. (Další informace najdete v tématu Běžné zásady podmíněného přístupu: Vyžadovat vícefaktorové ověřování pro všechny uživatele
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.
Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.
Přejděte do služby Identity>Protection>Security Center.
Vyberte Zásady podmíněného přístupu>a pak vyberte Nové zásady.
Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
V části Přiřazení vyberte odkaz v části Uživatelé.
a. Na kartě Zahrnout vyberte Všichni uživatelé.
b. Na kartě Vyloučit vyberte Uživatelé a skupiny a zvolte účty tísňového volání nebo účty pro tísňové volání vaší organizace.
Vyberte odkaz v části Cloudové aplikace nebo akce.
a. Na kartě Zahrnout zvolte jednu z následujících možností:
Zvolte Všechny cloudové aplikace.
Zvolte Vybrat aplikace a vyberte odkaz v části Vybrat. Najděte aplikaci, vyberte ji a pak zvolte Vybrat.
b. V části Vyloučit vyberte všechny aplikace, které nevyžadují vícefaktorové ověřování.
V části Řízení přístupu vyberte odkaz v části Udělení. Vyberte Udělit přístup, vyberte Vyžadovat vícefaktorové ověřování a pak zvolte Vybrat.
Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
Pokud chcete zásadu povolit, vyberte Vytvořit .
Povolení jednorázového hesla e-mailu jako metody MFA
Povolte metodu ověřování jednorázovým heslem e-mailu ve vašem externím tenantovi pro všechny uživatele.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.
Přejděte k metodám ověřování identity>Protection.>
V seznamu Metod vyberte E-mailové jednorázové heslo.
V části Povolit a Cíl zapněte přepínač Povolit .
V části Zahrnout vedle cíle vyberte Všechny uživatele.
Zvolte Uložit.
Otestování přihlášení
V privátním prohlížeči otevřete aplikaci a vyberte Přihlásit se. Měli byste být vyzváni k zadání jiné metody ověřování.